米Microsoft，IE7向けセキュリティ強化の一部を公表

IT Pro

2005.10.28

　米MicrosoftのInternet Explorer（IE）開発チームは，2006年後半にリリースが予定されるWebブラウザの新版「Internet Explorer 7」におけるセキュリティ強化計画の一部を公開した。開発者向けサイトMSDN内のブログ「IEBlog」で米国時間10月22日に開発担当者のEric Lawrence氏が明らかにしたもの。次期版では，HTTPS接続のセキュリティが強化されるという。

　HTTPSは，暗号を使ってインターネット・トラフィックを保護するもので，Secure Sockets Layer（SSL）またはTransport Layer Security（TLS）プロトコルが使われる。

　IE7では，デフォルトのHTTPSプロトコル設定が変更され，SSLv2プロトコルを無効化してよりセキュリティが強力なTLSv1プロトコルを採用する。IE6ユーザーは，IEツールのオプションから手動でこの設定を行なうことができる。IE7のHTTPS接続は，SSLv3かTLSv1がデフォルトとなる。

　ユーザーは，この変更によってIEの使い勝手の違いに気づくことはないという。同社の調査によれば，SSLv2が必要なサイトはほんの一部しか残っていない。Webサイトは，簡単な設定の変更でSSLv3かTLSv1のサポートを追加できるため，同氏はサイト運営者に対して設定の変更を呼びかけている。

　IE7では，デジタル認証に関して，（1）URLのホスト名と異なるホスト名で発行されているも，（2）信用できないルートから発行されている，（3）期限が切れている，（4）無効なものの場合には，HTTPSサイトへのアクセスを遮断する。これらの問題が発生した場合には，デジタル認証の問題を説明するエラー・ページを表示する。ユーザーは，認証が無効な場合を除き，警告を無視して先に進むこともできる。

　2006年後半に出荷されるWindowsの次期メジャー・バージョン「Windows Vista」でもHTTPS通信が強化されるという。AES（Advanced Encryption Standard）や256ビットの鍵長サポートを含めHTTPS通信向けに新しい暗号アルゴリズムを採用する。また，デフォルトで証明書の失効の確認が有効になるという。

　同開発チームは，Webサイト運営者に対して（1）SSLv3かTLSv1接続のサポート，（2）セキュア・ページとデジタル証明書のホスト名を一致させること，（3）TLSをサポートしている場合は標準に準拠する形で実装していることを確認するように呼びかけている。